Перейти к содержимому
Калькуляторы

DHCP сервер выдает чужие адреса DHCP сервер выдает чужие адреса

Собственно в чем проблема, начинают звонить абоненты:

"- здравствуйте, у меня конфликт IP адреса..."

 

Выясняем мак вредителя, смотрим логи dhcp сервера...

 

Nov 16 11:48:17 ns dhcpd: DHCPDISCOVER from 00:30:1b:42:83:ef via 172.16.13.1
Nov 16 11:48:17 ns dhcpd: DHCPOFFER on 172.16.13.67 to 00:30:1b:42:83:ef via 172.16.13.1
Nov 16 11:48:17 ns dhcpd: DHCPREQUEST for 172.16.13.88 (192.168.0.250) from 00:30:1b:42:83:ef via 172.16.13.1: lease 172.16.13.88 unavailable.
Nov 16 11:48:17 ns dhcpd: DHCPNAK on 172.16.13.88 to 00:30:1b:42:83:ef via 172.16.13.1

 

Соответственно сервер выдает адрес, клиент почему-то его игнорирует и запрашивает чужой, на что сервер сначала говорит мол фиг, занято, а потом спокойно подтверждает. С чем это может быть связано?

 

Данная проблема в нашей сети уже встречалась, в другом сегменте, при том проблема была практически у всех обитателей сегмента. адреса раздавались как попало и кому попало, но по примеру приведенного выше лога. В прошлый раз проблема как появилась так и пропала, сама по себе. Может ли это быть как-то связано с оборудованием? Или вирье?

 

Спасибо за внимание

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DHCPNAK - это не отказ сервера выдать адрес?

У вас нету клиентов, прописавших себе адреса статикой? Похоже на это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нет, адреса выдаются по DHCP специально созванивались уточняли, после ребута обоих компов все вдруг чудесным образом ожило, походая ситуация с другими клиентами, кому-то маска кривая выдалась, после ребута стало нормально

Свитчи которые релеят DHCP - Dlink DES-3828

 

если бы было статикой. то и логов бы не было

Изменено пользователем Beast_v

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вирус это.
Мм, а что за вирус если не секрет? в последний раз когда у нас такое было, баговал абослютно весь сегмент, само собой что у ВСЕХ вируса быть не может.

или хотяб по каким ключам искать

Изменено пользователем Beast_v

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Помоему ХР запрашивает аренду по ДХЦП адрес который прописан в альтернативной конфигурации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вчера вылезла такая же проблема.

Выдатся чужие адреса, а если адрес свой, то маска кривая.

IP адрес dhcp сервера выдавшего инфу клиенту - реальный.

Перезагрузки не помогают.

Куда копать? Подскажите.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DHCPNAK - это не отказ сервера выдать адрес?

У вас нету клиентов, прописавших себе адреса статикой? Похоже на это.

DHCPNAK - это отказ dhcp сервера выдать адрес, если он посчитает, что в запросе клиента есть некорректные данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера.

Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вирус этот уже не раз видели на своей сети. Всё хитро задумано. Вирус инфицирует машину, смотрит айпишник, маску, и адрес dhcp сервера который выдал айпишник инфицированой машине. Затем вирус начинает раздавать айпишники самостоятельно исходя из известныйх айпишников и масок(тут, кстати, есть ошибка в расчетах вирусописателя), важный признак - ДНСы он выдает левые. В самом DHCP пакете вирус указывает что dhcp сервер который выдал айпишник "такой-то", указывает он естественно айпи "правильного" сервера.

Может быть немного сумбурно объяснил. Возьмите wireshark и посмотрите у клиента траффик - все стяенет ясно.

Видимо все сайты делаются парнушными и с вирус эксплоитами после такого...

Нада на инет шлюзе прозрачно заворачивать все днс запросы на себя, не русорсоёмко и проблемы никто не заметит...

 

А мак он в пакетах дхцп тоже подменяет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите что за вирус, столкнулся с подобной проблемой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подскажите что за вирус, столкнулся с подобной проблемой.

http://forum.nag.ru/forum/index.php?showtopic=47754

Изменено пользователем Gorbushka

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видел этот вирус в сети, благо на 90% доступа стоят DES-3526 и левые DHCP успешно блркируются ACL-ками, DHCP ответ может придти только с магистрали.

53 порт наружу закрывать не хочется ибо бывает что нужно nslookup у внешнего сервера спросить, а так бы закрыл нафиг.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вирус прячется с помощью вот этого http://www.spyware-ru.com/udalit-trojan-tdsserv/

А сам вирус один из разновидностей DNSchanger

Изменено пользователем Ivantey

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.